Datenschutzerklaerung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Uebersicht der Datenverarbeitung

KSKlar ist eine B2B-SaaS-Loesung zur automatisierten Kuenstlersozialabgabe-Compliance. Im Rahmen der Nutzung unseres Dienstes verarbeiten wir personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfaehigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist.

Eine Verarbeitung personenbezogener Daten erfolgt regelmaessig nur nach Einwilligung des Nutzers oder in Faellen, in denen eine vorherige Einholung einer Einwilligung aus tatsaechlichen Gruenden nicht moeglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Teilnahme an Umfragen, optionale Kontaktaufnahme)
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfullung und vorvertragliche Massnahmen (z. B. Registrierung, Nutzung der SaaS-Plattform, Zahlungsabwicklung)
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (z. B. Aufbewahrungsfristen nach § 257 HGB)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. technisch notwendige Cookies, Missbrauchserkennung, Systemsicherheit)

4. Hosting und Infrastruktur

4.1 Vercel (Frontend-Hosting)

Unsere Webanwendung wird ueber Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) bereitgestellt. Bei jedem Zugriff auf unsere Website werden automatisch Zugriffsdaten (IP-Adresse, Zeitpunkt, aufgerufene Seite, Browsertyp) erfasst und in Server-Logfiles gespeichert. Die Datenuebermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen Bereitstellung).

4.2 Hetzner (Datenbank & Dateispeicherung)

Unsere PostgreSQL-Datenbank und der Dateispeicher (SeaweedFS) werden auf einem dedizierten Server der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) betrieben. Saemtliche Geschaeftsdaten verbleiben ausschliesslich auf Servern in Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).

5. Registrierung und Benutzerkonto

Bei der Registrierung erheben wir folgende Daten: Name, E-Mail-Adresse und optional Telefonnummer (fuer Zwei-Faktor-Authentifizierung). Die Authentifizierung erfolgt ueber Better Auth, eine self-hosted Open-Source-Loesung. Es werden keine Daten an Drittanbieter-Auth-Dienste uebermittelt.

Passwoerter werden ausschliesslich als kryptographische Hashes gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).

6. E-Mail-Kommunikation (Brevo)

Fuer den Versand von Transaktions-E-Mails (Registrierungsbestaetigung, Passwort-Zuruecksetzung, Fristenerinnerungen) nutzen wir Brevo (ehemals Sendinblue), Sendinblue GmbH, Koepernikusstr. 32, 10243 Berlin, Deutschland. Die Datenverarbeitung erfolgt innerhalb der EU (Deutschland/Frankreich).

Verarbeitete Daten: E-Mail-Adresse, Name. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung). Ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO ist abgeschlossen.

7. SMS-Verifizierung (Twilio)

Fuer die optionale Zwei-Faktor-Authentifizierung per SMS/WhatsApp nutzen wir Twilio Inc. (101 Spear Street, Suite 500, San Francisco, CA 94105, USA). Die Datenuebermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln.

Verarbeitete Daten: Telefonnummer, Verifizierungscode. Die Telefonnummer wird ausschliesslich zur Zustellung des Einmal-Codes verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).

8. KI-gestuetzte Rechnungsverarbeitung (Mistral AI)

Zur automatischen Erkennung und Klassifikation von KSK-pflichtigen Rechnungen setzen wir Mistral AI (Paris, Frankreich, EU) ein. Dabei kommen zwei Modelle zum Einsatz:

• Mistral OCR 3 — Extraktion von Textinhalten aus hochgeladenen Rechnungsdokumenten (PDF/Bilder)
• Mistral Large 3 — KSK-Klassifikation der extrahierten Rechnungsdaten

Datenminimierung gemaess Art. 5 DSGVO: An die Mistral API werden ausschliesslich die fuer die Klassifikation erforderlichen Felder uebermittelt: Anbietername, Stadt des Anbieters, Rechnungsdatum, Netto-/Bruttobetrag, Leistungsbeschreibung und Rechtsform. Sensible Daten wie IBAN, BIC, Steuernummer, USt-IdNr, vollstaendige Adresse, Telefonnummer und E-Mail-Adresse werden nicht an die API uebermittelt.

Mistral AI ist ein EU-Unternehmen mit Sitz in Frankreich. Es findet kein Drittlandtransfer statt. Die Original-Rechnungsdokumente (OCR-Rohdaten) werden nach erfolgreicher Extraktion geloescht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung). Ein AVV gemaess Art. 28 DSGVO ist abgeschlossen.

9. Zahlungsabwicklung (Stripe)

Fuer die Abwicklung von Zahlungen nutzen wir Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Die Datenuebermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln.

Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkartendaten werden ausschliesslich von Stripe verarbeitet und nicht auf unseren Servern gespeichert). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung). Ein AVV gemaess Art. 28 DSGVO ist abgeschlossen.

10. Cookies und Session-Management

Wir verwenden ausschliesslich technisch notwendige Cookies. Diese dienen der Session-Verwaltung und Authentifizierung ueber Better Auth. Es werden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies eingesetzt.

Wir setzen kein Google Analytics, Facebook Pixel oder vergleichbare Tracking-Dienste ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfaehigkeit).

11. Umfragen

Auf unserer Website bieten wir eine anonyme Umfrage zur Produktentwicklung an. Die Teilnahme ist freiwillig. Es werden keine personenbezogenen Daten erhoben. Die IP-Adresse wird ausschliesslich als kryptographischer Hash zur Missbrauchserkennung (Mehrfachteilnahme) gespeichert und laesst keine Rueckschluesse auf die Person zu.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Teilnahme).

12. Datensicherheit

Wir setzen technische und organisatorische Massnahmen ein, um Ihre personenbezogenen Daten gegen zufaellige oder vorsaetzliche Manipulation, Verlust, Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen. Dazu gehoeren insbesondere:

• Verschluesselte Datenuebertragung (TLS/HTTPS)
• Verschluesselte Datenspeicherung (Encryption at Rest)
• Kryptographisches Passwort-Hashing
• Rollenbasierte Zugriffskontrolle (RBAC)
• Zwei-Faktor-Authentifizierung (optional)
• Regelmaessige Sicherheitsupdates und -audits

13. Betroffenenrechte

Ihnen stehen folgende Rechte gegenueber uns hinsichtlich Ihrer personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO) — Sie koennen Auskunft ueber Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) — Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
• Recht auf Loeschung (Art. 17 DSGVO) — Sie koennen die Loeschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO) — Sie koennen die Einschraenkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenportabilitaet (Art. 20 DSGVO) — Sie koennen verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format uebergeben.
• Widerspruchsrecht (Art. 21 DSGVO) — Sie koennen der Verarbeitung Ihrer personenbezogenen Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Sie koennen eine einmal erteilte Einwilligung jederzeit widerrufen. Die Rechtmaessigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht beruehrt.

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an: kontakt@kiaufknopfdruck.de

14. Beschwerderecht bei der Aufsichtsbehoerde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehoerde zu. Die fuer uns zustaendige Aufsichtsbehoerde ist:

15. Aufbewahrungsfristen

Personenbezogene Daten werden geloescht, sobald der Zweck der Speicherung entfaellt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

• Rechnungen und Assessments: 10 Jahre gemaess § 257 HGB und § 147 AO
• Benutzerkonto-Daten: Bis zur Loeschung des Kontos durch den Nutzer, anschliessend unverzuegliche Loeschung (sofern keine gesetzliche Aufbewahrungspflicht besteht)
• OCR-Rohdaten: Werden nach erfolgreicher Datenextraktion unverzueglich geloescht
• Server-Logfiles: Automatische Loeschung nach 30 Tagen

16. Aenderungen der Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Aenderungen unserer Leistungen umzusetzen. Fuer Ihren erneuten Besuch gilt dann die neue Datenschutzerklaerung.